(1**)**物理层的数据帧概况
- Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on interface 0 #5号帧,线路268字节,实际捕获268字节
- Interface id: 0 #接口id
- Encapsulation type: Ethernet (1) #封装类型
- Arrival Time: Jun 11, 2015 05:12:18.469086000 中国标准时间 #捕获日期和时间
- [Time shift for this packet: 0.000000000 seconds]
- Epoch Time: 1402449138.469086000 seconds
- [Time delta from previous captured frame: 0.025257000 seconds] #此包与前一包的时间间隔
- [Time since reference or first frame: 0.537138000 seconds] #此包与第一帧的时间间隔
- Frame Number: 5 #帧序号
- Frame Length: 268 bytes (2144 bits) #帧长度
- Capture Length: 268 bytes (2144 bits) #捕获长度
- [Frame is marked: False] #此帧是否做了标记:否
- [Frame is ignored: False] #此帧是否被忽略:否
- [Protocols in frame: eth:ip:tcp:http] #帧内封装的协议层次结构
- [Number of per-protocol-data: 2] #
- [Hypertext Transfer Protocol, key 0]
- [Transmission Control Protocol, key 0]
- [Coloring Rule Name: HTTP] #着色标记的协议名称
- [Coloring Rule String: http || tcp.port == 80] #着色规则显示的字符串
(2**)**数据链路层以太网帧头部信息
- Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0)
- Destination: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) #目标MAC地址
- Source: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89) #源MAC地址
- Type: IP (0x0800)
(3**)**互联网层IP包头部信息
-
Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146)
-
Version: 4 #互联网协议IPv4
-
Header length: 20 bytes #IP包头部长度
-
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) #差分服务字段
-
Total Length: 254 #IP包的总长度
-
Identification: 0x5bb5 (23477) #标志字段
-
Flags: 0x02 (Don’t Fragment) #标记字段
-
Fragment offset: 0 #分的偏移量
-
Time to live: 64 #生存期TTL
-
Protocol: TCP (6) #此包内封装的上层协议为TCP
-
Header checksum: 0x52ec [validation disabled] #头部数据的校验和
-
Source: 192.168.0.104 (192.168.0.104) #源IP地址
-
Destination: 61.182.140.146 (61.182.140.146) #目标IP地址
(4**)**传输层TCP数据段头部信息
- Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1, Ack: 1, Len: 214
- Source port: 51833 (51833) #源端口号
- Destination port: http (80) #目标端口号
- Sequence number: 1 (relative sequence number) #序列号(相对序列号)
- [Next sequence number: 215 (relative sequence number)] #下一个序列号
- Acknowledgment number: 1 (relative ack number) #确认序列号
- Header length: 20 bytes #头部长度
- Flags: 0x018 (PSH, ACK) #TCP标记字段
- Window size value: 64800 #流量控制的窗口大小
- Checksum: 0x677e [validation disabled] #TCP数据段的校验和
Wireshark分析数据包
在Wireshark中的数据包都可以称为是网络数据。每个网络都有许多不同的应用程序和不同的网络涉及。但是一些常见的包中,通常都会包括一些登录程序和网络浏览会话。本节以访问Web浏览器为例将介绍分析网络数据的方法。
通常在访问Web服务器过程中,会涉及到DNS、TCP、HTTP三种协议。由于此过程中来回发送的数据包较为复杂,所以下面将介绍分析Web浏览数据。
【实例1-3】分析访问Web浏览数据。具体操作步骤如下所示:
(1**)**捕获访问www.qq.com网站的数据包,并保存该文件名为http-wireshar.pcapng。本例中捕获的文件如图1.49所示。
图1.49 http-wireshar.pcapng捕获文件
(2**)**接下来通过该捕获文件中的数据,分析访问Web的整个过程。在该捕获过程中,将包含DNS请求、响应、TCP三次握手等数据。如图1.50所示,在该界面显示了在访问网站之间DNS解析过程。
图1.50 DNS解析
(3**)**在该界面31帧,是DNS将www.qq.com解析为一个IP地址的数据包(被称为一个“A”记录)。32帧表示返回一个与主机名相关的IP地址的DNS响应包。如果客户端支持IPv4和IPv6,在该界面将会看到查找一个IPv6地址(被称为“AAAA”记录)。此时,DNS服务器将响应一个IPv6地址或混杂的信息。
说明:31帧是客户端请求百度,通过DNS服务器解析IP地址的过程。标识为“A”记录。
- 32帧是DNS服务器回应客户端请求的过程。标识为response.
(4**)**如图1.51所示,在该界面看客户端和服务器之间TCP三次握手(33、34、35帧)和客户端请求的GET主页面(36帧)。然后服务器收到请求(37帧)并发送响应包(38帧)。
说明:33帧是客户端向服务器发送TCP请求建立连接。标识为SYN。
- 34帧是服务器得到请求后向客户端回应确认包的过程。标识为SYN,ACK。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
703
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
